Múltiples vulnerabilidades en Moodle
Fecha de publicación 18/10/2023
Identificador
INCIBE-2023-0450
Importancia
4 - Alta
Recursos Afectados
Las siguientes versiones de Moodle se ven afectadas:
- desde 4.2 hasta 4.2.2,
- desde 4.1 hasta 4.1.5,
- desde 4.0 hasta 4.0.10,
- desde 3.11 hasta 3.11.16,
- desde 3.9 hasta 3.9.23
- versiones anteriores sin soporte.
Descripción
Varios investigadores han reportado 4 vulnerabilidades de severidad alta y varias bajas que se pueden consultar en la web de avisos de Moodle.
Solución
Actualizar a las versiones 4.2.3, 4.1.6, 4.0.11, 3.11.17 y 3.9.24.
Detalle
Las vulnerabilidades de severidad alta se describen a continuación:
- Ejecución remota de código en la actividad Lesson, que por defecto solo estaba disponible para profesores y gestores. Se ha asignado el identificador CVE-2023-5539.
- Ejecución remota de código en la actividad IMSCP, que por defecto solo estaba disponible para profesores y gestores. Se ha asignado el identificador CVE-2023-5540.
- Los comentarios de la wiki requerían un saneamiento adicional y restricciones de acceso para prevenir posibles vulnerabilidades de XSS almacenado e IDOR. Se ha asignado el identificador CVE-2023-5544.
- En un entorno de alojamiento compartido que ha sido mal configurado para permitir el acceso al contenido de otros usuarios, un usuario de Moodle que también tiene acceso directo al servidor web fuera de la raíz, podría utilizar un archivo local para lograr la ejecución remota de código. Se ha asignado el identificador CVE-2023-5550.
Listado de referencias
Etiquetas